Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

NCSC geeft beveiligingsadvies voor RDP-protocol

maandag 8 oktober 2018, 09:52 door Redactie, 17 reacties

Beheerders van systemen die via het remote desktopprotocol (RDP) toegankelijk zijn krijgen het advies om verschillende beveiligingsmaatregelen door te voeren, zodat aanvallers geen toegang tot de systemen kunnen krijgen. Het advies is afkomstig van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid en gebaseerd op een waarschuwing van de FBI over aanvallen via RDP.

Via het Remote Desktop Protocl is het mogelijk om op afstand op een systeem in te loggen. De FBI stelde eind september dat aanvallers gebruikmaken van zwakke wachtwoorden en verouderde RDP-versies om toegang tot systemen te krijgen. De aanvallers worden daarbij geholpen doordat beheerders onbeperkte toegang tot de standaard RDP-poort (tcp-poort 3389) mogelijk maken en het aantal inlogpogingen per gebruiker niet beperken.

Het NCSC wijst ook naar onderzoek van Rapid 7 waaruit blijkt dat er 11 miljoen apparaten op internet zijn te vinden die van tcp-poort 3389 gebruikmaken. Daarvan maken er meer dan 4,1 miljoen gebruik van RDP. Zodra aanvallers via RDP op een systeem weten in te loggen kunnen ze het achterliggende netwerk aan te vallen. Een bekend voorbeeld is de SamSam-ransomware die via RDP wordt verspreid.

Het NCSC heeft nu 18 beveiligingsmaatregelen opgesteld die beheerders kunnen nemen, zoals het segmenteren van netwerken, het instellen van een maximale loginduur voor RDP-sessies, het gebruik van een vpn voor het opzetten van de RDP-verbinding, het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol, het gebruik van sterke wachtwoorden en bijvoorbeeld tweefactorauthenticatie en het inventariseren of het gebruik van RDP echt nodig is.

Apple meldt congres VS dat het geen malafide chips heeft gevonden
Dataverzamelaar Apollo lekt 126 miljoen e-mailadressen
Reacties (17)
Reageer met quote
08-10-2018, 10:11 door Anoniem
"het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.

Hopeloos als onze overheid dergelijke adviezen af gaat geven.
Reageer met quote
08-10-2018, 10:28 door Anoniem
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.

Hopeloos als onze overheid dergelijke adviezen af gaat geven.

Het zal je maar verbazen hoeveel mensen dit niet hebben geimplementeerd.. Dus ik vind het wel goed dat ze dit doen!
Reageer met quote
08-10-2018, 10:41 door Bladie
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.
Misschien, maar het zal de kans op misbruik wel verminderen omdat bij een expliciete port-scan op zoek naar RDP deze server niet verder onderzocht zal worden. Kortom: een goed advies naast al de andere punten.
Reageer met quote
08-10-2018, 10:45 door Anoniem
Door Bladie:
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.
Misschien, maar het zal de kans op misbruik wel verminderen omdat bij een expliciete port-scan op zoek naar RDP deze server niet verder onderzocht zal worden. Kortom: een goed advies naast al de andere punten.

Slecht advies, draai zelf maar eens een honeypot en je zult versteld staan wat er allemaal op welke poorten binnen wil komen.
Security through obscurity is slecht en blijft slecht.
Reageer met quote
08-10-2018, 11:09 door Briolet
Geen standaard poort helpt al behoorlijk. Kijk maar naar poort 22. Als je daar een andere poort instelt, zie je ook het aantal inlogpogingen sterk afnemen.

Bij een gerichte aanval op een bedrijf zal men vast wel de moeite doen om op alle poorten te proberen.
Reageer met quote
08-10-2018, 12:17 door Tha Cleaner
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.

Hopeloos als onze overheid dergelijke adviezen af gaat geven.
Het is echter een hele snelle en gemakkelijke maatregel die een heel hoop ruis in 1 keer weg filtert. Je moet hierop echter niet alleen vertrouwen, je moet meer beveiligingsmaatregelen treffen.
Maar met 1 hele simple maatregel los je wel heel veel op.

Door Anoniem:Slecht advies, draai zelf maar eens een honeypot en je zult versteld staan wat er allemaal op welke poorten binnen wil komen.
Security through obscurity is slecht en blijft slecht.
Het is een goed advies, echter het is maar een heel klein onderdeel, wat heel veel weg filtert, in je beveiligingslaag. Maar het is zeker niet de holy grail, het lost je probleem zeker niet op. Maar deze hele simple configuratie, maakt je oplossing wel een stuk veiliger(, maar niet veilig).
Reageer met quote
08-10-2018, 13:03 door teusink
Een poort-nummer veranderen is alsof een financiële bank een verkeerd adres voor haar kluis opgeeft. Het is tijdelijk, want eenmaal gevonden is gevonden en het betekent nog steeds dat je exact dezelfde veiligheidsmaatregelen moet treffen wanneer je gewoon eerlijk bent.

En op basis van een response kan nog steeds achterhaald worden waarachter RDP zit. Gewoon een scanner draaien die zegt "Hey ik ben een RDP-client" en op basis van de response heb je zo ook de poort te pakken.
Reageer met quote
08-10-2018, 13:09 door Anoniem
Door Anoniem:
Door Bladie:
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.
Misschien, maar het zal de kans op misbruik wel verminderen omdat bij een expliciete port-scan op zoek naar RDP deze server niet verder onderzocht zal worden. Kortom: een goed advies naast al de andere punten.

Slecht advies, draai zelf maar eens een honeypot en je zult versteld staan wat er allemaal op welke poorten binnen wil komen.
Security through obscurity is slecht en blijft slecht.

Precies. Voor SSH ook wel regelmatig een andere poort gezien, 2222 bijvoorbeeld, nadeel is alleen dat bepaalde poorten alleen geopend kunnen als je voldoende rechten hebt op een *nix box en high ports (1024>) door jan en alleman, het werd er dus zelfs minder veilig door.
Reageer met quote
08-10-2018, 13:14 door Anoniem
Door Briolet: Geen standaard poort helpt al behoorlijk. Kijk maar naar poort 22. Als je daar een andere poort instelt, zie je ook het aantal inlogpogingen sterk afnemen.

Bij een gerichte aanval op een bedrijf zal men vast wel de moeite doen om op alle poorten te proberen.


https://serverfault.com/questions/189282/why-change-default-ssh-port --> hier staat een hele goede reactie en direct DE reden waarom je dit dus niet moet doen.

(Deel van de reactie: Whatever port you chose, if you do move away from 22, make sure it is below 1024. Under most Unix-a-like setups in their default config, only root (or users in the root group) can listen on ports below 1024, but any user can listen on the higher ports. Running SSH on a higher port increases the chance of a rogue (or hacked) user managing to crash your SSH daemon and replace it with their own or a proxy.)

Alles onder de 1024 wordt toch wel geprobeerd dus heb je er niets aan. Security through obscurity werkt niet. Gewoon SSH niet open zetten vanaf het publieke internet. Hier zijn VPN's en firewalls voor uitgevonden, als het dan echt niet anders kan iptables of iets dergelijks op de server zelf zetten voor alleen die specifieke ip adressen die toegang hebben.
Reageer met quote
08-10-2018, 13:24 door Anoniem
18 beveiligingsmaatregelen. En dan pikt men er hier eentje uit en gaat zitten gillen dat dat niet afdoende is. Yeah right.
Reageer met quote
08-10-2018, 13:44 door Briolet
Door Anoniem: …Under most Unix-a-like setups in their default config, only root (or users in the root group) can listen on ports below 1024, but any user can listen on the higher ports.…

Die kende ik nog niet. Goed om te onthouden.

Overigens gebruikt ik zelf gewoon poort 22, maar sta in de firewall alleen individuele IP adressen toe voor die poort. Er draait een git server op die poort met een paar externe gebruikers.
Reageer met quote
08-10-2018, 14:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door Bladie:
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.
Misschien, maar het zal de kans op misbruik wel verminderen omdat bij een expliciete port-scan op zoek naar RDP deze server niet verder onderzocht zal worden. Kortom: een goed advies naast al de andere punten.

Slecht advies, draai zelf maar eens een honeypot en je zult versteld staan wat er allemaal op welke poorten binnen wil komen.
Security through obscurity is slecht en blijft slecht.

Precies. Voor SSH ook wel regelmatig een andere poort gezien, 2222 bijvoorbeeld, nadeel is alleen dat bepaalde poorten alleen geopend kunnen als je voldoende rechten hebt op een *nix box en high ports (1024>) door jan en alleman, het werd er dus zelfs minder veilig door.
Hmmm... Draait SSH niet al standaard on het root account? En er zijn tegenwoordig meer dan volgende processen die standaard >1024 draaien. MySQL is er daar bijvoorbeeld 1 van, squid enz enz
Daarnaast, dan neem je toch TCP222? Onveliger is dus onzin.
Reageer met quote
08-10-2018, 14:56 door Anoniem
Door Anoniem: 18 beveiligingsmaatregelen. En dan pikt men er hier eentje uit en gaat zitten gillen dat dat niet afdoende is. Yeah right.

Geef dan 17 goede maatregelen i.p.v. 17 goede en 1 slechte.

Het punt wat ik (@10:11) wilde maken dat security through obscurity eerder slecht is dan goed.
Begin er niet aan, het werkt ondoorzichtigheid in de hand waardoor mensen niet meer weten waar ze mee bezig zijn, neem beter die 17 andere maatregelen en laat die 18e dan lekker achterwege.

Overigens kan puntje 16 best wat aangescherpt worden in "DWING sterke wachtwoorden af." i.p.v." Maak voor het inloggen gebruik van sterke wachtwoorden", het zijn tenslotte tips voor admins en niet voor simpele thuis zielen.

Of snappen thuisgebruikers de volgende kreten ook?:

Segmenteer uw netwerk zodat een eventuele computerinbraak beperkte gevolgen heeft.
Beheer alle devices via Out-of-Band netwerkmanagement.
Voer hardening uit op alle netwerkapparatuur.
Stel IP-restricties in op de firewall zodat alleen geautoriseerde computers een RDP-sessie op kunnen zetten.
Configureer te allen tijde toegang op basis van authenticatie. Eventueel tweefactorauthenticatie.


Overigens heb ik niks tegen het Windows OS, ik gebruik het niet.
Reageer met quote
08-10-2018, 16:04 door Anoniem
Door Anoniem: 18 beveiligingsmaatregelen. En dan pikt men er hier eentje uit en gaat zitten gillen dat dat niet afdoende is. Yeah right.

Precies meeste zijn gewoon goed en ook dat gene waar men aan het over zeiken is een goede.
Je kan tegenwoordig met zoekmachines scannen naar machines waar bepaalde poorten openstaan en services op draaien en zo grootschalig een hack uitvoeren.

Een criminele hacker gaat niet opzoek naar goed beveiligde systemen maar de juist zo min beveiligde en een teken dat je slecht beveiligd bent is toch een standaard poort open hebben voor een standaard remote port.
Reageer met quote
08-10-2018, 22:16 door Tha Cleaner
Door teusink: Een poort-nummer veranderen is alsof een financiële bank een verkeerd adres voor haar kluis opgeeft. Het is tijdelijk, want eenmaal gevonden is gevonden en het betekent nog steeds dat je exact dezelfde veiligheidsmaatregelen moet treffen wanneer je gewoon eerlijk bent.

En op basis van een response kan nog steeds achterhaald worden waarachter RDP zit. Gewoon een scanner draaien die zegt "Hey ik ben een RDP-client" en op basis van de response heb je zo ook de poort te pakken.
Aan de andere kant. De niet Nederlander die zomaar even door de buurt rijd, ziet niet direct dat het een bank is, en rijd dus gewoon netjes door. Echter gaat hij door de ramen kijken, dan ziet die wel dat het een bank is, en kan jij kijken of die binnen kan komen. Je moet je ramen dus nog steeds goed beveiligen......

Ofwel het is een hele kleine en gemakkelijke beveiligingsmaatregel, kan je al heel veel problemen voorkomen. Maar je moet hier niet alleen op vertrouwen.....
Reageer met quote
08-10-2018, 22:20 door Tha Cleaner
Door Anoniem:
Door Anoniem: 18 beveiligingsmaatregelen. En dan pikt men er hier eentje uit en gaat zitten gillen dat dat niet afdoende is. Yeah right.

Geef dan 17 goede maatregelen i.p.v. 17 goede en 1 slechte.

Het punt wat ik (@10:11) wilde maken dat security through obscurity eerder slecht is dan goed.
Begin er niet aan, het werkt ondoorzichtigheid in de hand waardoor mensen niet meer weten waar ze mee bezig zijn, neem beter die 17 andere maatregelen en laat die 18e dan lekker achterwege.

Overigens kan puntje 16 best wat aangescherpt worden in "DWING sterke wachtwoorden af." i.p.v." Maak voor het inloggen gebruik van sterke wachtwoorden", het zijn tenslotte tips voor admins en niet voor simpele thuis zielen.

Of snappen thuisgebruikers de volgende kreten ook?:

Segmenteer uw netwerk zodat een eventuele computerinbraak beperkte gevolgen heeft.
Beheer alle devices via Out-of-Band netwerkmanagement.
Voer hardening uit op alle netwerkapparatuur.
Stel IP-restricties in op de firewall zodat alleen geautoriseerde computers een RDP-sessie op kunnen zetten.
Configureer te allen tijde toegang op basis van authenticatie. Eventueel tweefactorauthenticatie.


Overigens heb ik niks tegen het Windows OS, ik gebruik het niet.
Ik vind dit eigenlijk juist en van de beste tips die er in staan. OoB management, segmentatie, 2FA, VPN, IP restricties inderdaad leuke beveiligingsmaatregelen en ook hele goede en moet je ook zeker over nadenken. Maar voor heel veel bedrijven helemaal niet geschikt te complex, of mogelijk.

Maar een alternatieve port, is gemakkelijk en zeer snel te implementeren, zelfs voor consumenten. En het lost gewoon een groot gedeelte op van je aanvalsvector. Heb je echter iemand die verder kijkt, die zal de alternatieve port nog steeds vinden. Daar kan en moet je inderdaad alternatieve extra beveiligingsmaatregelen voor nemen.
Reageer met quote
09-10-2018, 17:08 door Anoniem
Door Briolet: Geen standaard poort helpt al behoorlijk. Kijk maar naar poort 22. Als je daar een andere poort instelt, zie je ook het aantal inlogpogingen sterk afnemen.

Bij een gerichte aanval op een bedrijf zal men vast wel de moeite doen om op alle poorten te proberen.

Meeste 22 aanvallen op mijn servers komen uit China. Het gaat 24/7 door.

RDP advies? Oud nieuws.......... laat advies. Via RDP is veel te vinden op andermans computer (vaak geen wachtwoord)

Ik herinner mij een Nederlander met een tekstbestandje met daarin al zijn wachtwoorden, codes, en zelfs pincodes.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Stelling: Sociale media vormen een bedreiging voor de democratie

5 reacties
Aantal stemmen: 206
Juridische vraag: Is de AVG van toepassing op het filmen van personen in een niet-openbare ruimte?
13-02-2019 door Arnoud Engelfriet

In 2013 blogde je over de vraag: Mag een cliënt de thuiszorg met een webcam filmen? Toen was een eenduidig antwoord met ja of ...

15 reacties
Lees meer
Google Chrome en privacy
13-02-2019 door Anoniem

dag, google chrome heb ik niet geinstalleerd vanwege de afstand die ik wil bewaren tot google. ik gebruik firefox. maar chrome ...

15 reacties
Lees meer
Ik wil stoppen met het gebruik van Whatsapp maar mijn vrienden-kennissen niet.
10-02-2019 door Anoniem

Beste Security vrienden, Ik zit met een dilemma die mij al een aantal jaren bezig houd. Ik heb mijzelf al meerden malen ...

37 reacties
Lees meer
Juridische vraag: Wanneer is het hebben van een Remote Access Tool en een Keylogger strafbaar?
06-02-2019 door Arnoud Engelfriet

Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op ...

21 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter